Les Jeux olympiques de Pyeongchang victimes d’une attaque informatique
Les Jeux olympiques de Pyeongchang victimes d’une attaque informatique
Par Martin Untersinger
Des chercheurs en sécurité ont identifié un programme informatique malveillant conçu pour « perturber les Jeux olympiques ».
Des chercheurs en sécurité ont identifié un programme informatique malveillant conçu pour « perturber les Jeux olympiques ». / PAWEL KOPCZYNSKI / REUTERS
Les organisateurs des Jeux olympiques d’hiver ont reconnu, dimanche 11 février, avoir été victimes, dans la nuit de vendredi 3 à samedi 4 février, d’une attaque informatique. « Il y a eu une cyberattaque, le serveur a été mis à jour hier pendant la journée et nous avons [identifié] la cause du problème » a déclaré un porte-parole des XXIIIes Jeux d’hiver, cité par le Guardian.
Les dégâts – réparés depuis – sont restés sans gravité : le site Internet des Jeux a été inopérant pendant douze heures, empêchant par exemple les visiteurs d’imprimer leurs tickets d’entrée. Dans la salle de presse, le réseau Internet et les télévisions ont cessé de fonctionner tandis que le réseau Wi-Fi du stade olympique a été interrompu.
Lundi, deux chercheurs en sécurité informatique de l’entreprise Talos ont annoncé avoir découvert un programme informatique malveillant, surnommé « Olympic destroyer », qu’ils soupçonnent fortement d’être à l’origine des perturbations. D’abord, l’activité du virus recoupe temporellement les ennuis informatiques des organisateurs des Jeux olympiques. Ensuite, et surtout, des identifiants et des mots de passe spécifiques aux systèmes informatiques de Pyeongchang 2018, préalablement récupérés par les pirates, ont été incorporés à ce programme malveillant.
« Perturber les Jeux olympiques »
Selon les chercheurs, ce dernier n’est pas destiné à l’espionnage. « Les échantillons que nous avons analysés ne comportent qu’une fonctionnalité de destruction. Il ne semble pas y avoir de fuite d’information », écrivent Warren Mercer et Paul Rascagnères. En clair, ce programme malveillant « a pour but de perturber les Jeux olympiques ».
Ce programme destructif – « wiper », dans le jargon – combine des fonctionnalités de propagation automatique – qui lui permettent de contaminer d’autres ordinateurs d’un même réseau une fois une machine infectée – avec des fonctionnalités de destruction. Olympic Destroyer supprime les fichiers accessibles sur le réseau depuis l’ordinateur infecté ainsi que d’autres données présentes sur l’ordinateur, perturbant gravement son fonctionnement.
Sur ce dernier point, les chercheurs ont cependant remarqué qu’il avait opté pour une méthode de destruction de fichiers moins radicale que d’autres wipers par le passé, qui peut expliquer pourquoi ses effets ont été relativement limités. « C’est très inhabituel », précise au Monde Craig Williams, chercheur chargé de la communication chez Talos, avant d’expliquer que les auteurs du virus auraient pu configurer ce dernier pour qu’il détruise pour de bon les données. Erreur de programmation ou avertissement ? A ce stade, impossible de le dire.
L’inévitable soupçon russe
Impossible aussi de dire qui se cache derrière ce logiciel. Il s’agit en tout cas de quelqu’un qui avait « pour objectif de mettre dans l’embarras le Comité olympique durant la cérémonie d’ouverture », écrivent les deux chercheurs. Dans le contexte politique actuel, alors que le CIO a pris des mesures de rétorsion contre Moscou à la suite d’affaires de dopage – les athlètes russes concourent cette année sous une bannière neutre –, les soupçons se sont immédiatement portés sur la Russie. D’autant que ce programme malveillant utilise des méthodes de propagation évoquant celles qui ont été utilisées ces derniers mois par BadRabbit et NotPetya, ce dernier étant soupçonné par les autorités américaines d’avoir des origines au sein du renseignement russe.
Les chercheurs de Talos n’ont à ce stade observé aucune similarité forte avec un programme malveillant déjà connu. « C’est la première fois que nous voyons ce programme destructif », affirme Craig Williams.
Les organisateurs se sont refusés à pointer un quelconque responsable. « Nous ne révélons aucun détail publiquement pour le moment. Nous sommes en train de nous assurer que nos systèmes sont sécurisés, et ils le sont, aussi discuter des détails ne nous est d’aucune aide », a expliqué Mark Adams, le responsable de la communication du Comité international olympique au Guardian, tout en évoquant la publication ultérieure d’un rapport sur l’événement.
Les soubresauts des conflits numériques
Comme tout grand événement, les Jeux olympiques sont touchés par les soubresauts des conflits numériques. Plusieurs semaines avant le coup d’envoi des Jeux de Pyeongchang, des experts ont repéré plusieurs vagues d’activité informatique suspectes.
L’entreprise spécialisée Trend Micro pointait à la mi-janvier l’existence d’une campagne d’hameçonnage, qui consiste à tromper sa cible pour l’inciter à fournir ses mots de passe, visant plusieurs fédérations de sports d’hiver, notamment la Fédération européenne de hockey sur glace, la Fédération internationale de ski ou l’Union internationale de biathlon. Cette opération a, selon Trend Micro, été menée par « Pawn storm », l’appellation retenue par l’entreprise pour désigner le principal groupe de pirates affiliés à la Russie.
Parallèlement, un groupe de pirate se faisant appeler « Fancy bear », soit l’appellation retenue par d’autres acteurs de l’industrie pour désigner « Pawn storm », a publié des correspondances internes au Comité international olympique censées décrédibiliser les investigations antidopage qui ont conduit aux sanctions contre la Russie.
Une autre entreprise, McAfee, a elle aussi détecté, peu avant le début des Jeux olympiques, une campagne d’hameçonnage visant l’organisation des JO. Quelques semaines plus tard, toujours selon McAfee, cette campagne s’est poursuivie avec le déploiement d’un programme malveillant destiné à extraire des données. Cette offensive semblait cependant pilotée par un « acteur étatique parlant coréen », selon l’entreprise citée par le Financial Times. Une manière diplomatique mais transparente de désigner le régime nord-coréen, dont les activités hostiles dans le cyberespace semblent s’être renforcées ces derniers mois.